Aplicar um framework

Os frameworks consistem em controles de nuvem que ajudam você a atender aos requisitos regulamentares ou de segurança da sua empresa nos ambientes de nuvem. A aplicação de um framework é um processo de duas etapas: primeiro, você precisa determinar os controles de nuvem que sua empresa exige para gerenciar segurança, conformidade e risco. Em seguida, você pode implantar uma estrutura que inclui esses controles de nuvem nos recursos apropriados emGoogle Cloud. Esta página ajuda você a concluir as seguintes etapas:

  1. Avalie qual framework integrado melhor se alinha aos seus requisitos regulamentares e de segurança. Você pode criar seu próprio framework personalizado, mas recomendamos começar com um framework integrado.

  2. Determine quais controles de nuvem integrados correspondem aos requisitos da sua empresa. É possível criar controles de nuvem personalizados, se necessário.

  3. Determine se você quer implantar o framework na sua organização Google Cloud ou em pastas ou projetos específicos. Só é possível implantar uma estrutura em cada organização, pasta ou projeto.

  4. Copie um framework existente e modifique-o para atender aos seus requisitos. Se necessário, crie um framework personalizado.

  5. Implante o framework nos recursos adequados.

Antes de começar

Você precisa ter um dos seguintes papéis do Identity and Access Management:

  • Administrador de compliance de segurança (roles/cloudsecuritycompliance.admin) para configurar o Gerenciador de Compliance.

  • Leitor de compliance de segurança (roles/cloudsecuritycompliance.viewer) para ver painéis de descobertas do Gerenciador de compliance e configurações do Gerenciador de compliance.

Ver frameworks

Siga estas etapas para conferir a configuração de frameworks integrados ou outros frameworks que você já criou.

  1. No console Google Cloud , acesse a página Conformidade.

    Acesse Conformidade

  2. Para conferir todos os frameworks disponíveis, clique na guia Configurar.

  3. Para conferir detalhes sobre um framework específico, clique em Mais ações > Ver detalhes.

Ver controles de nuvem

Siga estas etapas para conferir os controles de nuvem integrados e os controles personalizados que você já criou.

  1. No console Google Cloud , acesse a página Conformidade.

    Acesse Conformidade

  2. Na guia Configurar, clique em Controles na nuvem. A lista de controles de nuvem disponíveis é exibida.

  3. Para ver detalhes sobre um controle de nuvem, clique no nome dele.

Criar Cloud Control personalizado

Este pré-lançamento inclui as seguintes limitações para a criação de controles personalizados na nuvem:

  • Só é possível selecionar um tipo de recurso.
  • Os únicos tipos de dados compatíveis são recursos do Inventário de recursos do Cloud.
  • Não é possível verificar a sintaxe e a semântica da Common Expression Language (CEL) no console Google Cloud .

  1. No console Google Cloud , acesse a página Conformidade.

    Acesse Conformidade

  2. Na guia Configurar, clique em Controles na nuvem. A lista de controles de nuvem disponíveis é exibida.

  3. Conclua uma das seguintes tarefas:

Use o Gemini

  1. Peça ao Gemini para gerar um controle de nuvem. Com base no seu comando, o Gemini fornece um identificador exclusivo, um nome, uma lógica de detecção associada e possíveis etapas de correção.

  2. Revise as recomendações e faça as mudanças necessárias.

  3. Salve o controle de nuvem personalizado.

Criar manualmente

  1. Em ID de controle do Cloud, forneça um identificador exclusivo para seu controle.

  2. Insira um nome e uma descrição para ajudar os usuários da sua organização a entender a finalidade do controle de nuvem personalizado.

  3. Se quiser, selecione as categorias para o controle.

  4. Clique em Continuar.

  5. Selecione um tipo de recurso disponível para seu controle de nuvem personalizado.

  6. Forneça a lógica de detecção para seu controle de nuvem no formato Common Expression Language (CEL). É possível codificar a lógica de detecção usando expressões CEL com operadores CEL padrão para avaliar as propriedades dos recursos incluídos no controle da nuvem. Para mais informações e exemplos, consulte Escrever expressões CEL.

  7. Clique em Continuar.

  8. Selecione uma gravidade de descoberta adequada.

  9. Escreva instruções de correção para que os responsáveis pela resposta a incidentes e os administradores da sua organização possam resolver as descobertas do controle de nuvem.

  10. Clique em Continuar.

  11. Revise as entradas e clique em Criar.

Criar um framework

  1. No console Google Cloud , acesse a página Conformidade.

    Acesse Conformidade

  2. Na guia Configurar, clique em Criar framework personalizado.

  3. Selecione se você quer começar com um framework atual ou criar um personalizado.

  4. Siga uma das etapas a seguir:

    • Para usar uma estrutura atual, faça o seguinte:

      1. Selecione Começar com um framework atual.

      2. Selecione o framework que você quer copiar.

      3. Clique em Adicionar.

    • Para criar uma estrutura personalizada, selecione Iniciar nova.

  5. Insira um nome e um identificador exclusivo para o framework.

  6. Clique em Continuar. Se você estiver copiando um framework, a lista de controles de nuvem que faziam parte dele vai aparecer.

  7. Para adicionar os controles de nuvem necessários, faça o seguinte:

    • Para adicionar um controle de nuvem, clique em Adicionar controles de nuvem. Selecione todos os controles de nuvem necessários e clique em Adicionar.

    • Para criar um controle de nuvem personalizado, clique em Criar controle de nuvem personalizado. Para instruções sobre como criar um controle personalizado da nuvem, consulte Criar um controle personalizado da nuvem.

  8. Clique em Continuar.

  9. Adicione outros parâmetros exigidos pelos controles de nuvem. Por exemplo, se você quiser ativar o controle de nuvem Residência de dados com o controle de nuvem Configurações de compliance do Cloud Logging, especifique os locais que o Cloud Logging precisa usar.

  10. Clique em Criar.

Implantar um framework em uma organização, pasta ou projeto

Aplique um framework a uma organização, pasta ou projeto para controlar e monitorar esses recursos usando os controles de nuvem do framework. Só é possível implantar uma estrutura em cada organização, pasta ou projeto.

Os frameworks são herdados por pastas e projetos filhos. Portanto, se você implantar frameworks no nível da organização e do projeto, todos os controles de nuvem nos dois frameworks serão aplicados aos recursos do projeto. Se houver diferenças nas definições de controle na nuvem (por exemplo, uma regra de controle na nuvem definida como "Permitir" no nível da organização e "Negar" no nível do projeto), o controle na nuvem de nível inferior será usado pelos recursos no projeto.

Como prática recomendada, recomendamos que você implante uma estrutura no nível da organização que inclua os controles de nuvem aplicáveis a toda a empresa. Em seguida, é possível aplicar frameworks mais rigorosos a pastas e projetos que precisam deles.

  1. No console Google Cloud , acesse a página Conformidade.

    Acesse Conformidade

  2. Na guia Configurar, clique em Mais ações > Aplicar aos recursos no framework que você quer usar.

  3. Escolha uma das seguintes opções:

    • Para monitorar apenas a deriva, escolha Monitorar.

    • Para monitorar a deriva e evitar violações ativamente, escolha Monitorar e evitar.

  4. Selecione o recurso em que você quer implantar o framework. Você pode escolher uma organização, um projeto ou uma pasta. Se você escolheu evitar ativamente violações, crie um projeto ou uma pasta e aplique a estrutura a eles.

  5. Siga uma das etapas a seguir:

    • Se você selecionou Monitor, clique em Monitor.

    • Se você selecionou Monitorar e evitar, faça o seguinte:

      1. Clique em Próxima.
      2. Selecione os controles preventivos da nuvem que você quer aplicar.
      3. Clique em Continuar.
      4. Revise suas seleções e clique em Aplicar.

Depois de aplicar a estrutura, monitore seu ambiente para detectar qualquer desvio dos controles de nuvem definidos. Os painéis de conformidade na guia Resumo da página Conformidade mostram o alinhamento do seu ambiente com os frameworks aplicados.

O Security Command Center informa instâncias de desvio como descobertas que podem ser analisadas, filtradas e resolvidas. Pode levar aproximadamente seis horas para que os resultados relacionados a controles de nuvem apareçam depois que você aplica um framework. Para mais informações, consulte Analisar e gerenciar descobertas no console.

É possível exportar essas descobertas da mesma forma que você exporta qualquer outra descoberta do Security Command Center. Para mais informações, consulte Exportar dados do Security Command Center.